Re ele de calculatoare folosind S.O.

LINUX
S.O. (Sistem de Operare) LINUX are mai multe forme (distribu ii) care prezint diferente minimale in ceea ce prive te configurarea interfe ei de re ea. Printre distributii se regasesc: RedHat este o versiune populara de Linux atat in format comercial cat si gratuita. SO RedHat gratuit a evoluat ulterior in SO Fedora; Debian SO care a pus bazele CD-urilor boot-abile (KANOTIX , KNOPPIX). Are un sistem foarte usor de distribuire si instalare a aplicatiilor, cat si o baza de cateva zeci de mii de programe gratuite; SLACKWARE in prezent (SLAX distributie Linux pe 90MB) este printre putinele distributii care s-au pastrat de la inceputurile sistemelor de tip Linux. Este recomandata utilizatorilor avansati de Linux; S.U.S.E. LINDOWS actualmente cunoscut sub denumirea de LINSPIRE incearca se prezinte o interfata asemanatoare cu sistemul Windows, deoarece majoritatea potentialilor utilizatori au folosit deja acest sistem de operare; MANDRAKE; UBUNTU o versiune avand interfata SO cu utilizatorul simplificata la elementele de baza, pentru a ajuta intelegerea acesteia. Acest SO are si o versiune educationala : EDUBUNTU. Fisiere legate de configurarea retelei /etc/resolv.conf : - fisierul de translatarea a numelor de calculatoare in adrese IP. Acesta permite Linux-ului sa cunoasca ce server DNS va solutiona numele de domenii in adrese IP. Daca se foloseste DHCP (protocol folosit pentru configurarea dinamica a calculatoarelor) aceste informatii sunt trimise automat de catre ISP (Internet Service Provider). Daca se foloseste adresarea statica (adresele sunt configurate manual) setarile se vor efectua de catre administratorul calculatorului. /etc/hosts: - translateaza numele de calculatoare in adrese IP la nivel local. /etc/modules.conf : - acest fisier arata modulele care vor fi incarcate de SO. In majoritatea cazurilor dispozitivele de retea sunt incarcate ca module. Exista unelte care permit configurarea grafica a retelei de calculatoare. Unele dintre acestea sunt : /usr/sbin/system-config-network (pentru Fedora); /usr/bin/redhat-config-network-tui (pentru RedHat configurare in linia de comanda); /usr/bin/gnome-network-preferences (pentru interfata grafica Gnome).

Configurarea retelei cu router Linux Reteaua 192.168.0.0

PC3

INTERNET

eth0 PC1

eth1

HUB sau switch

PC2

IP : 192.168.94.100 Net : 255.255.255.0 GW : 192.168.94.1 DNS : 194.102.70.247 194.102.70.249 Tipuri de interfete in LINUX

IP : 192.168.0.1 Net : 255.255.255.0 GW : ---DNS : 194.102.70.247 194.102.70.249

IP : 192.168.0.2 Net : 255.255.255.0 GW : 192.168.0.1 DNS : 194.102.70.247 194.102.70.249

Loopback prescurtarea lo. Ethernet eth0,eth1,lan0,lan1. Wireless wlan0,wlan1, Token Ring tr0,tr1. Seriale ppp0, ppp1 (ppp point to point protocol folosit pentru comunicatiile prin liniile analogice de telefon (de ex. modem-uri))

1. 2.

3. 4. 5. 6.

Se foloseste ifconfig (interface configuration) pentru a lista placile de retea configurate sub Linux. Se configureaza, folosind interfata grafica sau linia de comanda, cele doua placi de retea: eth0 si eth1 (in versiunile mai noi de Linux: lan0 si lan1) pentru sistemul care asigura routarea (aici PC1). In linia de comanda acest lucru se face astfel (de exemplu pentru interfata eth0): ifconfig eth0 192.168.94.100 netmask 255.255.255.0 Se configureaza placa de retea pe sistemul (aici PC2) care vrea sa acceseze internetul prin intermediului calculatorului cu rol de router, In cazul in care alte sisteme sunt atasate in reteaua in care se afla eth1 (de exemplu PC3), acestea se vor configura cu adrese din aceasta retea (se va lua in considerare masca folosita; in cazul nostru vor fi in reteaua 192.168.0.0) Se activeaza functia de routare pe sistemul PC1 Se activeaza functiile de firewall si filtrare a traficului

Configurarea adreselor IP folosind utilitar cu interfata grafica Network/Config Configurare eth0: Use DHCP? : Nu IP address of eth0 : 192.168.94.100 Masca: 255.255.255.0 Broadcast address of eth0: 192.168.94.255 GW: 192.168.94.1 DNS: 194.102.70.247 194.102.70.249 Se activeaza placa implicit la pornire sistem de operare? : Da

Configurare eth1 sau a altor placi atasate se face in mod analog eth0, folosind adresele corespunzatoare. Activarea functiei de routare In /proc/sys/net/ipv4/ip_forward trebuie sa modificam valoarea respectiva. Acest fisier contine implicit 0 (nu se foloseste NAT Network Address Translation). Pentru a activa aceasta functie se scrie in fisier 1. Pentru aceasta se poate folosi u deditor de text, sau in linia de comanda se introduce: echo 1 > /proc/sys/net/ipv4/ip_forward (pentru a modifica in 1 continutul fisierului); cat /proc/sys/net/ipv4/ip_forward (pentru a vizualiza/verifica continutul acestui fisier). Pentru activarea functiei NAT, in versiunile mai noi de Linux se foloseste functia iptables, iar in versiunile mai vechi ipchains. iptables -t nat -A POSTROUTING o eth0 -j MASQUERADE ipchains -A forward -j MASQ -s 192.168.0.0/24 -d 0.0.0.0 -i eth0 Se recomanda folosirea iptables deoarece aceasta permite analiza pachetelor care traverseaza routerul mai buna decat ipchains, si se pot preveni in acest fel atacuri mai complexe asupra retelei. Pentru a vedea tabela de rutare folosim comanda route. Obs. Pentru a configurea manuala a caii implicite pe catre care sunt trimise pachetele a caror destinatie nu este gasita local (default gateway) se foloseste comanda : route add default gw 192.168.94.1 In exemplul nostru gw (gateway) este placa eth0. Pentru a adauga manual retele in tabela de rutare se foloseste:

route add net 192.168.0.0 eth1 Protectia impotriva atacurilor sistemelor Linux prin interfata de retea Doua probleme importante care trebuie avute in vedere sunt protectiile impotriva spoofing-ului si contra SYN cookies. Protectia contra spoofing Spoofing tehnica de a castiga acces neautorizat la un calculator prin care atacatorul trimite mesaje catre acest calculator folosind ca adresa proprie un IP ,,de incredere (eng. trust) . Pentru a dezactiva aceasta posibilitate de atac in: /etc/network/options se configureaza linia spoofprotect = yes SYNcookies Natura protocolului TCP/IP de initializare a unei conexiuni implica trimiterea de grupuri SYN-ACK. De aceea se poate crea un atac numit SYNflooding (inundarea cu pachete de sincronizare). Pe baza acestui atac, deoarece aceste syn cookies trec fara a mai necesita perechi SYN-ACK, in 1997 a fost dezvoltat un atac reusit asupra oricarui tip de calculator de ordinal minutelor pentru retele rapide . Protectia contra acestei scapari de securitate se asigura prin plasarea in: /etc/network/options syncookies=no Alte comenzi utile in configurarea interfetelor de retea sub Linux Pentru a reporni sisistemul de retea sub sisteme de tip Debian se poate folosi comanda: /etc/init.d/networking restart Pentru sisteme RedHat acelasi lucru se realizeaza folosind: /etc/rc.d/network restart In momentul configurarii unei placi de retea, exista posibilitatea directionarii gresite a pachetelor pe durata configurarii, sau descoperirea din greseala a unor

zone de securitate in cazul in care se modifica caracteristicile de filtrare a traficului. O regula care se recomanda a fi respectata este inchiderea serviciilor TCP/IP pe durata configurarii, si reactivarea acestora cand este terminata configurarea. Inchiderea acestor servicii se realizeaza prin comanda: ifdown eth0 Activarea/reactivarea interfetei se realizeaza prin comanda: ifup eth0

Activarea filtrarii pachetelor In unele situatii este recomandabil sa filtram continutul pachetelor. De exemplu, in cazul atacurilor DOS (Denial Of Service) atacatorii folosesc comanda ping pentru a monitoriza prezenta calculatorarelor si pentru a lansa un atac atunci cand acestea sunt depistate. Comanda ping foloseste pachete de tipul ICMP, deci un calculator poate fi configurat sa nu raspunda la acest tip de pachete daca se configureaza regulile: Pentru iptables: iptables -A OUTPUT -p icmp -d 0/0 -j DROP Pentru ipchains: ipchains -A output -p icmp -d 0/0 -j DENY O alta comanda care permite ignorarea tuturor pachetelor de tip raspuns ICMP: echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all Exercitii Se vor cauta folosind paginile de manual incluse in Linux, optiunile complete pentru comenzile folosite in acest laborator. Urmarind indicatiile din laborator se va configura o retea locala cu un calculator avand rol de router.